Вирус сам скачивает файлы, устанавливает программы

@kroekt94 · Регистрация: 15.12.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте, случилась такая беда, скачал файл с сайта и после его установки понял, что скачал вирус т.к. установилось не то что требовалось. Сразу удалил файл, удалил то что установилось, но во время удаления начались устанавливаться другие программы типа "Оперы,хрома,амиго, games-desktop и.т.д" пробовал скачивать антивирусы (Dr.web, avast) не находят вирус, скачал CCleaner, Revo Uninstaller Pro, удалял все вручную, но через 5 минут все устанавливалось снова. в процессах висят задачи которые я не могу закрыть (говорят нет доступа) уже и не знаю что делать, вот логи, помогите что с этим сделать

@shestale · 16.12.2015, 13:04

Переделайте пожалуйста, лог получился не полный.

@kroekt94 · 16.12.2015, 13:43 **[ТС]**

пожалуйста

@shestale · 16.12.2015, 13:55

Внимание! Рекомендации написаны специально для kroekt94. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\kroket94\appdata\local\birds', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\Users\kroket94\AppData\Local\SmartWeb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\users\kroket94\appdata\local\birds\birds365.exe', '');
 QuarantineFile('c:\users\kroket94\appdata\roaming\daemon2.exe', '');
 QuarantineFile('c:\program files (x86)\79e7e640-1450100884-11d5-8067-e0cb4ee39a8b\knsnae3b.tmp', '');
 QuarantineFile('c:\users\kroket94\appdata\local\temp\nsha43f.tmp', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('c:\users\kroket94\appdata\local\gmsd_ru_005010176\upgmsd_ru_005010176.exe', '');
 QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\RosyStarling.dll', '');
 QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\GrayPartridge.dll', '');
 QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\BlackSwan.dll', '');
 QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\Cassowary.dll', '');
 QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\RuppellsVulture.dll', '');
 QuarantineFile('C:\Program Files (x86)\79E7E640-1450100884-11D5-8067-E0CB4EE39A8B\jnspA682.tmp', '');
 QuarantineFile('C:\PROGRA~1\GROOVE~1\Oojydx.bat', '');
 QuarantineFile('C:\Users\kroket94\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Users\kroket94\appdata\local\smartweb\__u.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Fiapj" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteFile('c:\users\kroket94\appdata\local\birds\birds365.exe', '32');
 DeleteFile('c:\users\kroket94\appdata\roaming\daemon2.exe', '32');
 DeleteFile('c:\program files (x86)\79e7e640-1450100884-11d5-8067-e0cb4ee39a8b\knsnae3b.tmp', '32');
 DeleteFile('c:\users\kroket94\appdata\local\temp\nsha43f.tmp', '32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('c:\users\kroket94\appdata\local\gmsd_ru_005010176\upgmsd_ru_005010176.exe', '32');
 DeleteFile('C:\Users\kroket94\AppData\Local\Birds\RosyStarling.dll', '32');
 DeleteFile('C:\Users\kroket94\AppData\Local\Birds\GrayPartridge.dll', '32');
 DeleteFile('C:\Users\kroket94\AppData\Local\Birds\BlackSwan.dll', '32');
 DeleteFile('C:\Users\kroket94\AppData\Local\Birds\Cassowary.dll', '32');
 DeleteFile('C:\Users\kroket94\AppData\Local\Birds\RuppellsVulture.dll', '32');
 DeleteFile('C:\Program Files (x86)\79E7E640-1450100884-11D5-8067-E0CB4EE39A8B\jnspA682.tmp', '32');
 DeleteFile('C:\PROGRA~1\GROOVE~1\Oojydx.bat', '32');
 DeleteFile('C:\Users\kroket94\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Users\kroket94\appdata\local\smartweb\__u.exe', '32');
 DeleteFileMask('c:\users\kroket94\appdata\local\birds', '*', true);
 DeleteFileMask('c:\program files (x86)\sfk', '*', true);
 DeleteFileMask('C:\Users\kroket94\AppData\Local\SmartWeb', '*', true);
 DeleteDirectory('c:\users\kroket94\appdata\local\birds');
 DeleteDirectory('c:\program files (x86)\sfk');
 DeleteDirectory('C:\Users\kroket94\AppData\Local\SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010176.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Birds');
 DeleteService('ginoquci');
 DeleteService('rigovyzo');
 DeleteService('SSFK');
 DeleteService('rizyqibe');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Windows Batch file
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению не нужно!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@kroekt94 · 16.12.2015, 14:24 **[ТС]**

надеюсь все сейчас правильно сделал

@shestale · 16.12.2015, 14:27

Сообщение от shestale

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

???

@kroekt94 · 16.12.2015, 14:29 **[ТС]**

подготавливал

готово

@shestale · 16.12.2015, 14:42

1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

2. Удалите параметры запуска ярлыков.
+
Подготовьте логи Farbar Recovery Scan Tool

@kroekt94 · 16.12.2015, 16:02 **[ТС]**

сделал, но теперь при загрузке появляются эти ошибки

@shestale · 17.12.2015, 12:19

Сообщение от shestale

1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
2. Удалите параметры запуска ярлыков.

Где логи???
+
Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
start
CreateRestorePoint:
Task: {BFB39DE5-78D3-472A-A5FD-8E353EC0BD54} - System32\Tasks\Cooking Form => Rundll32.exe "C:\Users\kroket94\AppData\Local\Cooking Form\{0677547D-9153-99EC-12EC-E661C7C9EF14}\CookingForm.dll",#1 <==== ATTENTION
Task: {EF0B19FB-49E7-42F3-AB59-997353470B1C} - System32\Tasks\Cooking Form2 => Rundll32.exe "C:\Users\kroket94\AppData\Local\Cooking Form\{0677547D-9153-99EC-12EC-E661C7C9EF14}\cpx.dll",#1 <==== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-671502594-3485370471-2649092670-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-671502594-3485370471-2649092670-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
2015-12-15 05:03 - 2015-12-15 05:03 - 00000000 ____D C:\Users\Все пользователи\AqnDKuibWTnoz
2015-12-15 05:03 - 2015-12-15 05:03 - 00000000 ____D C:\ProgramData\AqnDKuibWTnoz
2015-12-15 04:03 - 2015-12-15 04:03 - 00000000 ____D C:\Users\Все пользователи\MwcQQpiHpBSMZ
2015-12-15 04:03 - 2015-12-15 04:03 - 00000000 ____D C:\ProgramData\MwcQQpiHpBSMZ
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\Users\Все пользователи\utEJPAMSh
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\Users\Все пользователи\TIcJyXBz
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\ProgramData\utEJPAMSh
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\ProgramData\TIcJyXBz
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

@kroekt94 · 18.12.2015, 09:54 **[ТС]**

Извините что не ответил сразу, к сожалению был на работе...(
Да я уже вижу что вирус больше не показывает себя! огромное вам спасибо, только пожалуйста убедитесь в том что у меня его больше нет)) а то он не мало хлопот принес

@shestale · 18.12.2015, 17:19

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@kroekt94 · 18.12.2015, 23:38 **[ТС]**

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 18.12.2015 23:23:09
Path starting: C:\Users\kroket94\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: kroket94
VersionXML: 2.19is-15.12.2015
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 21.10.2015 14:55:47
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe
Системный диск: C: ФС: [NTFS] Емкость: [68 Гб] Занято: [47.6 Гб] Свободно: [20.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18124
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-12-16 00:00:58
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 бета 5 (64-разрядная) v.5.00.5 Внимание! Скачать обновления
TeamViewer 11 v.11.0.52465
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Internet Explorer\iexplore.exe v.11.0.9600.18123
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE v.11.0.9600.18124
----------------------------- [ End of Log ] ------------------------------

а на счет обновлений немного не понял, какие обновления и по каким ссылкам ?)

Добавлено через 12 минут
а, все, понял))

@shestale · 19.12.2015, 06:34

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	16.12.2015, 13:04
	Переделайте пожалуйста, лог получился не полный. 1

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	16.12.2015, 14:42
	1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. 2. Удалите параметры запуска ярлыков. + Подготовьте логи Farbar Recovery Scan Tool 1

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.12.2015, 17:19
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 1

@kroekt94 0 / 0 / 0 Регистрация: 15.12.2015 Сообщений: 42
	18.12.2015, 23:38 [ТС]
	SecurityCheck by glax24 v.1.4.0.32 [01.11.15] WebSite: www.safezone.cc DateLog: 18.12.2015 23:23:09 Path starting: C:\Users\kroket94\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: kroket94 VersionXML: 2.19is-15.12.2015 ________________________________________ ___________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 21.10.2015 14:55:47 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe Системный диск: C: ФС: [NTFS] Емкость: [68 Гб] Занято: [47.6 Гб] Свободно: [20.4 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18124 Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2015-12-16 00:00:58 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.00 бета 5 (64-разрядная) v.5.00.5 Внимание! Скачать обновления TeamViewer 11 v.11.0.52465 --------------------------------- [ IM ] ---------------------------------- Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files\Internet Explorer\iexplore.exe v.11.0.9600.18123 C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE v.11.0.9600.18124 ----------------------------- [ End of Log ] ------------------------------ а на счет обновлений немного не понял, какие обновления и по каким ссылкам ?) Добавлено через 12 минут а, все, понял)) 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.12.2015, 06:34
	Рекомендации после удаления вредоносного ПО 1